お世話になります。

Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。

どうも rootkit を仕込まれたのではないかと、非 Win マシンで AVG (ウィルス・スキャン)の ISO を CD に焼き、当該マシン含め Win 機をスキャンしましたが、それらしいものは出てきません(tracking cookie や暗号化済ファイルは検知します)。

もしかするとずっと以前から感染していた可能性もある訳ですが先日、迂闊にも Firefox でスパム経由のヤバそうなサイトを踏んでしまい、そのあとで異常に気付きました。ちなみに、なんとか MBR もフォーマットした上でクリーン・インストールしてみましたが、先程症状の再発を確認しました。

つきましては、
 ・この症状の見立て
 ・取るべき対策
を御教示いただければと存じます。

当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・スキャンしてからデータを取り出せばよいのでは?と考えています。

以上、宜しくお願いします。

回答の条件
  • URL必須
  • 1人5回まで
  • 登録:
  • 終了:2010/09/29 19:30:02
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:ko8820 No.2

回答回数1221ベストアンサー獲得回数69

ポイント48pt

MBRをクリアして、クリーンインストールをしてもだめというのは

どう考えてもおかしいと思います。

>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。

これは具体的にはどういう現象でそれを確認されたのでしょうか?

>当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・

>インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・

>スキャンしてからデータを取り出せばよいのでは?と考えています。

現状では、このようなことをしても、セキュリティ強度からから考えて同じだと思いますが・・。

これが効果があると思われるのは、XPのインストールディスク自体が汚染されてる状況ぐらいで

それはありえないと考えるのが普通ですから、XPをWindows7に変えるだけでほかの条件は同じでしたら

ぜんぜん、状態は変化してません。

その後、ウィルス・スキャンをしたとしても、非 Win マシンで AVG (ウィルス・スキャン)と同等です。


どこかでなにか勘違いしてる可能性のほうが高いです。

それか、「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」の現象の起こる前と

起こった後を観測できない限り、どんなほうほうも意味ありません。

ネットワークに接続しないで、クリーンインストールした直後に、

「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」

というのはありえないと思いますが・・・。

このときに、そうでなくて、何かの後にそうなったらそれが原因です。

HDDに不良セクタとかができていてとかはありえないこともないですが、

この場合は、別の新しいHDDを使って確認するしかないです。

http://q.hatena.ne.jp/answer

id:renpoo

回答ありがとうございます。

>>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。

>これは具体的にはどういう現象でそれを確認されたのでしょうか?

タスク・マネージャー上で確認しました。

元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます(なんとも杜撰な crack に見えますよね)。わたしはこれが OS の動作として異常にしか思えなくなり、感染を疑いました。あと、HDD の他のパーティションに、勝手にワトソンが出来上がり、その後、消えた症状もあります。

そこで追加質問なのですが、CD から直接起動した AVG で rootkit などのウィルスが発見できない可能性はありましょうか?


> どこかでなにか勘違いしてる可能性のほうが高いです。

誠に以って、おっしゃるとおりです。

直近のクリーン・インストールは、XP をインストール後、すぐに商用ウィルス対策ソフトをダウンロードして導入、そのあと Windows Update を繰り替えした上でシステムを再構築しました。


どうも混乱しております。

引き続き、御教示いただければ幸いです。

2010/09/27 13:17:15

その他の回答2件)

id:kick_m No.1

回答回数1372ベストアンサー獲得回数54

再インストール http://www

id:ko8820 No.2

回答回数1221ベストアンサー獲得回数69ここでベストアンサー

ポイント48pt

MBRをクリアして、クリーンインストールをしてもだめというのは

どう考えてもおかしいと思います。

>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。

これは具体的にはどういう現象でそれを確認されたのでしょうか?

>当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・

>インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・

>スキャンしてからデータを取り出せばよいのでは?と考えています。

現状では、このようなことをしても、セキュリティ強度からから考えて同じだと思いますが・・。

これが効果があると思われるのは、XPのインストールディスク自体が汚染されてる状況ぐらいで

それはありえないと考えるのが普通ですから、XPをWindows7に変えるだけでほかの条件は同じでしたら

ぜんぜん、状態は変化してません。

その後、ウィルス・スキャンをしたとしても、非 Win マシンで AVG (ウィルス・スキャン)と同等です。


どこかでなにか勘違いしてる可能性のほうが高いです。

それか、「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」の現象の起こる前と

起こった後を観測できない限り、どんなほうほうも意味ありません。

ネットワークに接続しないで、クリーンインストールした直後に、

「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」

というのはありえないと思いますが・・・。

このときに、そうでなくて、何かの後にそうなったらそれが原因です。

HDDに不良セクタとかができていてとかはありえないこともないですが、

この場合は、別の新しいHDDを使って確認するしかないです。

http://q.hatena.ne.jp/answer

id:renpoo

回答ありがとうございます。

>>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。

>これは具体的にはどういう現象でそれを確認されたのでしょうか?

タスク・マネージャー上で確認しました。

元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます(なんとも杜撰な crack に見えますよね)。わたしはこれが OS の動作として異常にしか思えなくなり、感染を疑いました。あと、HDD の他のパーティションに、勝手にワトソンが出来上がり、その後、消えた症状もあります。

そこで追加質問なのですが、CD から直接起動した AVG で rootkit などのウィルスが発見できない可能性はありましょうか?


> どこかでなにか勘違いしてる可能性のほうが高いです。

誠に以って、おっしゃるとおりです。

直近のクリーン・インストールは、XP をインストール後、すぐに商用ウィルス対策ソフトをダウンロードして導入、そのあと Windows Update を繰り替えした上でシステムを再構築しました。


どうも混乱しております。

引き続き、御教示いただければ幸いです。

2010/09/27 13:17:15
id:hanako393 No.3

回答回数1142ベストアンサー獲得回数87

ポイント32pt

|元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます

単にどのユーザーで起動しても、SYSTEMで起動するようなサービスとかそういう系統のアプリではないんでしょうか?

http://q.hatena.ne.jp/answer

id:renpoo

「いつのまにか」と申しております。

ちなみにアプリは Firefox と Thunderbird です。

2010/09/29 02:47:46

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません